1

我有几个问题。

规格:MySql 数据库;服务器端语言 PHP 5.3.10

1)什么时候应该使用准备好的语句?

我正在构建一个有用户的 webapp。我不断地在数据库中检索/插入数据。我目前没有使用准备好的语句,我想知道这是否是错误的做事方式?

/**
     * Register a new user into the database.  Please make sure to
     * hash the password.
     * @param type $fName First name of the user - String value.
     * @param type $lName Last name of the user - String value.
     * @param type $email Email address of the user - String value.
     * @param type $hashedPassword - String value.
     * @return boolean true if sucessful or false if failed.
     */
    function registerUser($fName, $lName, $email, $hashedPassword)
    {
        //Establish a connection.
        $mysqli = new $mysqli($GLOBALS['dbServer'], $GLOBALS['dbUserName'], $GLOBALS['dbPassword'], $GLOBALS['dbName']);

        //Check if connection failed.
        if($mysqli->connect_error)
        {
            die('Connect Error (' .$mysqli->connect_errno . ') '
                    .$mysqli->connect_error);
        }

        //Insert data into the table and check if the attempt was sucessful.
        if($mysqli->query("INSERT INTO user_info(email, password, fName, lName) VALUE  ('$email', '$hashedPassword', '$fName', '$lName')"))
        {
            return true;
        }
        return false;            
    }

这是将值插入数据库并确保它成功的正确方法吗?或者,我可以使用准备好的语句,我想知道

2)我将如何使用准备好的语句?我为什么要(如果你建议我这样做)?

我预计每天大约有 20,000 次访问该网站。或者让我们假设这是多少......

4

2 回答 2

0

您应该始终使用准备好的语句。这将防止任何 SQL 注入的机会(前提是准备工作正确)。我猜您还想知道何时可以使用常规查询来提高效率;硬件总是可以升级的。注意二阶 SQL 注入(示例)。

于 2013-01-26T08:51:41.797 回答
0

除了已经回答的“我为什么要”这个问题之外,您的代码中还有一些内容需要更正。

  1. 在每个函数中创建新的数据库连接不是要走的路。
    在引导文件的某处创建一次,然后使用global关键字访问它。
  2. 死在代码中间是另一个禁忌。
  3. 将许多运算符塞入一行并没有什么好处,反而会使代码难以阅读和支持。
  4. 与 PDO 不同,Mysqli 无法帮助减少代码中的重复,因此,程序员必须小心。

所以,这个功能就像

function registerUser($fName, $lName, $email, $hashedPassword)
{
    global $mysqli;

    //Insert data into the table and check if the attempt was sucessful.
    $sql = "INSERT INTO user_info(email, password, fName, lName) VALUES (?,?,?,?)";
    $sth = $mysqli->prepare($sql);
    foreach (func_get_args() as $i => $value) {
        $sth->bindValue($i+1, $value, PDO::PARAM_STR);
    }
    $mysqli->execute();
    return !$mysqli->error;
}
于 2013-01-26T09:12:39.030 回答